黑客通過VoIP滲透來竊取、私用企業的VoIP電話,造成了VoIP的不安全性。開放性的架構所帶來的靈活性讓VoIP能夠滲透到企業的整個管理流程中去,提高通信效能,提高生產效率,這是IP技術的核心優勢所在。所有影響數據網絡的攻擊都可能會影響到VoIP網絡,如病毒、垃圾郵件、非法侵入、 DoS、劫持電話、偷聽、數據嗅探等。
前段時間,圣地亞哥黑客會議局的兩個安全專家通過Cisco VoIPdia進入了他們所在酒店的內部公共網絡系統。兩名黑客說,他們通過Wired.com網站的一篇博客進入到了這家酒店的財務系統和內部公共網絡系統,并且獲取下了酒店內部的通話記錄。這兩名黑客使用了由一種名叫VoIP Hopper提供的滲透測試模式,VoIP Hopper將模擬Cisco數據包,每三分鐘發送一次信息,然后轉換成為新的以太網界面,通過博客地址,用計算機代替酒店的電話系統切入到網絡中去,以此來運轉VoIP。可見VoIP是件危險的事情,從某種角度講對網絡產生了一定的安全威脅。
VoIP滲透現狀
VoIP在IP網絡上運行。意味著,它與WEB和電子郵件等其它IP應用一樣,有著同樣的威脅和漏洞等安全問題。這些威脅和漏洞包括所有IP網絡層面的威脅。每天很疲憊地應對這些威脅;以及人們使用標準的網絡安全技術和良好的網絡設計來應對未知威脅。網絡的安全性根本技術問題(技術問題遲早會通過技術解決),但我們并沒有因為經常存在黑客、病毒的侵襲而不發展網絡,同理,我們也不能因為有了安全性問題而不發展網絡電話,否則就是本末倒置、因噎廢食的愚蠢做法;最后,對網絡電話安全問題考慮得比較多的是大型企業,因為這些企業擔心機密外泄而拒絕使用網絡電話。
與VoIP相關的網絡技術協議很多,常見的有控制實時數據流應用在IP網絡傳輸的實時傳輸協議和實時傳輸控制協議;有保證網絡QoS質量服務的資源預留協議和IP different Service等,還有傳統語音數字化編碼的一系列協議如G.711、G.728、G.723、G.729等等。但目前VoIP技術最常用的話音建立和控制信令是H.323和會話初始協議(STP)。SIP協議是IETF定義多媒體數據和控制體系結構中的重要組成部分。同時,由于SIP只負責提供會話連接和會話管理,而與應用無關,因此SIP可以被用于多個領域。即使是協議本身也有潛在的安全問題:H.323和SIP總體上都是一套開放的協議體系。
在一系列的通話過程方面,各設備廠家都有獨立的組件來承載。越是開放的操作系統,其產品應用過程就越容易受到病毒和惡意攻擊的影響。而這些應用都是在產品出廠時就已經安裝在設備當中的,無法保證是最新版本或是承諾已經彌補了某些安全漏洞。同時,最為一種新興發展技術的傳輸協議,SIP并不完善,它采用類似于FTP、電子郵件或者HTTP服務器的形式來發起用戶之間的連接。利用這種連接技術,黑客們同樣會對VOIP進行攻擊。如果網關被黑客攻破,IP電話不用經過認證就可隨意撥打,未經保護的語音通話有可能遭到攔截和竊聽,而且可以被隨時截斷。黑客利用重定向攻擊可以把語音郵件地址替換成自己指定的特定IP地址,為自己打開秘密通道和后門。黑客們可以騙過SIP和IP地址的限制而竊取到整個談話過程。
如果VoIP的基礎設施不能得到有效保護,它就能夠被輕易地攻擊,存儲的談話內容就會被竊聽。與傳統的電話設備相比,用于傳輸VoIP的網絡——路由器、服務器,甚至是交換機,都更容易受到攻擊。而傳統電話使用的PBX,它是穩定和安全的。應該從以下三個方面著手:
第一部曲:限制所有的VoIP數據只能傳輸到一個VLAN上,確保網關的安全
對語音和數據分別劃分VLAN,這樣有助于按照優先次序來處理語音和數據。劃分VLAN也有助于防御費用欺詐、DoS攻擊、竊聽、劫持通信等。 VLAN的劃分使用戶的計算機形成了一個有效的封閉的圈子,它不允許任何其它計算機訪問其設備,從而也就避免了電腦的攻擊,VoIP網絡也就相當安全;即使受到攻擊,也會將損失降到最低。要配置網關,使那些只有經過允許的用戶才可以打出或接收VoIP電話,列示那些經過鑒別和核準的用戶,這可以確保其它人不能占線打免費電話。通過SPI防火墻、應用層網關、網絡地址轉換工具、SIP對VoIP軟客戶端的支持等的組合,來保護網關和位于其后的局域網。
第二部曲:及時更新VoIP安全漏洞,增加訪問控制列表
VoIP網絡的安全性,既依賴于底層的操作系統又依賴于運行其上的應用軟件。保持操作系統及VoIP應用軟件補丁及時更新對于防御惡意程序或傳染性程序代碼是非常重要的。對于目前存在的VoIP安全漏洞及時更新,通過端口管理,進行適當增加訪問控制列表。
如: ip access-list admin_acl
seq 10 permit ip 212.22.128.0 0.0.7.255 any
seq 20 permit ip 200.2.141.0 0.0.0.255 any
seq 30 permit ip 219.56.9.192 0.0.0.15 any
seq 31 permit ip 212.22.138.48 0.0.0.15 any
seq 32 permit ip host 201.55.3.12 any
seq 40 deny tcp any any eq telnet
seq 50 deny tcp any any eq ssh
seq 60 deny tcp any any eq ftp
seq 70 deny tcp any any eq ftp-data
seq 80 deny tcp any any eq 161
seq 90 deny udp any any eq tftp
seq 91 deny udp any any eq snmp
seq 100 permit ip any any
第三部曲:根據某種標準限制訪問,避免遠程管理,保障VoIP平臺的安全
通過準備一個被允許呼叫的目的地列表,來防止網絡被濫用于長途電話、“釣魚”欺詐和非法電話。網絡管理員可以建立嚴格的準入標準,防止用戶訪問具有潛在危險的設備,當這些設備被發現感染了病毒或蠕蟲時,或沒有打上最新的補丁,或沒有安裝適當的防火墻,都使系統潛藏著危險。這些設備可以被定向到完全不同的網絡,并將危險傳入到要害網絡。如果可能,最好避免使用遠程管理和審計,但若是需要的話,使用SSH或IPsec來保證安全中國體育彩票股票股票腫瘤粉碎機四川地震汶川地震奧運。隧道和傳輸加密是兩種不同的加密模式,都支持IP層的數據包交換。使用IPsec傳輸加密只對數據進行加密,并隱藏源IP地址和目標IP地址。禁用那些非必要的服務,并使用基于主機的檢測方法。保障VoIP網絡的安全是一項艱巨的任務,特別是考慮到缺少適當的標準和程序的情況下。一個網絡安全性依賴于硬件和軟件的正確選擇。